Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. Bu makalemizde sistem yöneticileri için temel konulardan biri olan “Grup Hesaplarının Yönetimini” hem yerel(local) grup hesapları hem de active directory domain yapılarındaki grup hesapları açısından detaylı olarak ele alacağız. Bu konuda uzun vadede referans olabilecek bir makale hazırlamaya çalıştık. Bu makaledeki anlatımlarımızı her ne kadar Windows Server 2012 R2 üzerinde yapmış olsak da, büyük bir kısmı özellikle Windows 2003’den bugüne tüm active directory ortamlarında geçerlilik arzediyor olacak.
Grup Hesapları
Kullanıcı hesaplarını bir arada toplayarak yönetimi basitleştirmek için kullanılan nesnelere “grup(group)” adı verilmektedir. Grup nesneleri kullanılarak kullanıcıların, ağ üzerindeki paylaştırılmış kaynaklara erişimlerini ve bu kaynaklar üzerindeki izinlerini merkezi ve toplu bir şekilde kontrol edebilirsiniz.
Ağ üzerinde paylaştırılmış olan bir kaynağa, aynı izin ile birden fazla kullanıcının erişmesi söz konusu ise, bu kullanıcılara tek tek izin ataması yapmak yerine, bir grup oluşturup, kullanıcıları o gruba üye yapıp, kullanıcıların üye olduğu gruba da izin atayarak yapılacak işlemi kolaylaştırabilirsiniz. Örneğin; muhasebe bölümündeki 20 tane kullanıcının rapor isimli bir dosyayı sadece okumaları gerekiyor. Bu kullanıcılara, rapor isimli dosya için 20 kullanıcıya ayrı ayrı okuma izni vermek yerine, muhasebe isimli bir grup oluşturarak kullanıcılarınızı bu gruba kattığınızda, yapmanız gereken sadece muhasebe grubuna rapor isimli dosya için okuma izni vermek olacaktır. Bu sayede hem yönetim, hem kontrol, hem de yapılan işlem kolaylaşmış olur.
Bir kullanıcı aynı anda birden fazla grubun üyesi olabilir. Dolayısıyla kullanıcının üye olduğu gruplara gelen kısıtlamalar normal şartlarda kullanıcının kendisini de etkileyecektir. Gruplar içerisine kullanıcı hesaplarının haricinde, kontaklar, bilgisayar hesapları ve diğer gruplar da üye olarak eklenebilir.
Grup hesaplarını genel olarak üç grupta inceliyoruz. Bunlar:
Domain Grup hesapları (Domain Group accounts)
Yerel Grup Hesapları (Local Group accounts)
Yerleşik Grup Hesapları (Built-In Group Accounts)
Domain Grup Hesapları (Domain Group Accounts )
Domain içerisinde yani Active Directory içerisinde açılan grup hesaplarına “domain grup hesabı” adı verilir. Domain grup hesapları, domain’e logon olan kullanıcılar tarafından kullanılırlar.
Domain Grup Tipleri:
Security gruplar
Bu gruplar sistem içerisindeki kaynaklara izin atamada kullanılırlar. Ayrıca, mail grubu olarak birden
fazla kullanıcıya aynı anda mail göndermek amacıyla da kullanabilirsiniz. Fakat security grupların mail
grubu olarak kullanılması güvenlik sakıncasından dolayı tavsiye edilmez.
Distribution gruplar:
Bu grupları sadece, mail grubu olarak aynı anda birden fazla kullanıcıya mail atmak amaçlı
kullanabilirsiniz. Bu gruplara domain içerisindeki kaynaklar için izin ataması yapamazsınız.
Domain Grup Kapsamları (Grup Scope)
Active Directory yapısı incelendiği zaman, birden fazla grup tipi ve grup scope’u olduğu görülür. Her grup tipi kendine özgü çeşitli özelliklere sahiptir. Domain içerisinde yapılacak işleme göre, oluşturulacak grubun tipi ve kapsamı belirlenmektedir. Dolayısıyla grupları oluşturmadan önce, gruplarla ilgili özellikleri iyi öğrenmekte fayda vardır. Domain içerisinde iki tür grup tipi, üç tür grup kapsamı(group scope) bulunmaktadır. Grup tiplerini yukarıda anlattık. Şimdi de grup kapsamlarını (group scope) inceleyelim.
Grupların ağ üzerinde nerelerde kullanacağına ve hangi domainlerdeki kaynaklara erişebileceklerine grup scope’ları ile karar verilmektedir. Üç tür grup scope’u vardır.
Global group: Kullanıcıları organize etmek için kullanılan grup kapsamıdır. Hem kendi domaininde hem de güven ilişkisine sahip olduğu domainlerde görülebilir. Dolayısıyla hem kendi domaininde hem de güven ilişkisine sahip olduğu domainlerdeki kaynakları kullanabilirler. Global gruba kimlerin üye olabileceği ya da global grubun kendisinin hangi gruplara üye olabileceği ile ilgili bilgiyi birazdan grup üyelikleri tablosunda vereceğiz.
Domain local group: Domain local grup, sadece oluşturulduğu domain içerisinde görülebilir. Dolayısıyla sadece oluşturulduğu domain içerisindeki kaynaklara sahip olduğu izinler doğrultusunda erişim gerçekleştirebilmektedir. Domain lokal gruplara hem kendi domaini içerisinden hem de güven ilişkisine sahip olduğunuz diğer domainler içerisinden üye ekleyebilirsiniz. Domain local gruba kimlerin üye olabileceği ya da domain local grubun kendisinin hangi gruplara üye olabileceği ile ilgili bilgiyi birazdan grup üyelikleri tablosunda vereceğiz.
Universal group: Windows 2000 ve Windows 2003 domain yapılarında domain fonksiyonel seviyesi eğer Windows 2000 – Mixed modda çalışıyorsa bu grubu kullanamıyorduk. Domain fonksiyonel seviyesinin Windows 2000 native ve üzeri seviyelerde Universal grup kullanılabiliyordu. Universal grup bulunduğu forest yapısı içerisinde bulunan bütün domainlerdeki kaynaklara erişim gerçekleştirebilir. Universal gruplara forest içerisindeki herhangi bir domain içerisinden üyeler ekleyebilirsiniz. Universal gruba kimlerin üye olabileceği ya da universal grubun kendisinin hangi gruplara üye olabileceği ile ilgili bilgiyi birazdan grup üyelikleri tablosunda vereceğiz.
Domain İçerisinde Grup Hesabı Oluşturulması:
Kullanıcılarınızın domain içerisindeki kaynaklardan yararlanabilmeleri için Active Directory içerisinde öncelikle bir kullanıcı hesabına sahip olmaları gerekir. Bu kullanıcı hesaplarını organize etmek ve daha kolay yönetmek için grup hesaplarını kullanabileceğimizden bahsetmiştik. Active Directory domain ortamında grup hesabı oluşturmak için Active Directory Users and Computers ya da Active Directory Administrative Center yönetim konsolları kullanılır. Active Directory Users and Computers yönetim konsolunu kullanarak domain ortamında grup hesabı oluşturmak için aşağıdaki adımları takip etmeniz yeterlidir:
Administrative Tools menüsü içerisinden Active Directory Users and Computers konsolu açılır.
Açılan pencerede grup hesabı nerede oluşturulmak isteniyorsa (mesela OU içerisinde) o objenin üzerinde sağ tuşa basılır ve New seçilerek açılan menüden Group seçeneğine tıklanır.
New Object-Group penceresinde aşağıdaki tanımlamalar gerçekleştirilir.
Group Name : Gruba atanacak olan isim tanımlanır. Biz gruba ”Danismanlar” adını verelim.
Group Name (pre-Windows 2000) : Windows 2000 öncesi sistemlerde görünecek grup ismi tanımlanır. Group Name kısmına girilen isim buraya otomatik bir şekilde girilmektedir. Fakat isterseniz değiştirebilirsiniz.
Group Type : Oluşturulan grup hangi amaçla kullanılacaksa , bu kısımdan grubun tipi belirlenir. Biz izin ataması için kullanacağımızda burada Security tipini seçtik.
Group Scope : Oluşturulan gruba ait olan kapsam belirlenir. Hem kendi domainimizde hem de güven ilişkisine sahip olduğumuz domainlerde kullanacağımız için Global grup kapsamını seçtik.
Gerekli tanımlamalar yapıldıktan sonra OK ile grup hesabı oluşturma işlemi tamamlanır ve şekilde görüldüğü gibi arka plana gelir.
Oluşturulan grubun özelliklerine girilerek Members sekmesinden bu grubun üyelerini Add ile ekleyebilir, Member Of sekmesinden bu grubun üye olacağı diğer gruplar belirlenebilir.
Ayrıca yukarıdaki şekilde de görüldüğü üzere Active Directory Users and Computers konsolu içerisinde gruplar için Name, Type ve Description olarak gözüken üç kolonda herhangi grup ile ilgili genel bilgiler alınabilir. Name kolonunda nesnenin adı, bizimki grup olduğu için Danismanlar ismi görülmektedir. Type kolonunda nesnenin tipi, Security – Global, Security – Domain Local şeklinde hangi tipte olduğunu görüyoruz. Description kolonunda da grup ile ilgili tanımlayıcı bilgiler yer almaktadır.
Active directory domainlerinde oluşturulan her kullanıcıda olduğu gibi oluşturulan her grup nesnesi için de o gruba özgü ve benzersiz olan bir kimlik numarası atanır ki biz buna SID (Securitiy Identifier) adını veriyoruz. Bir grup silindiğinde, o gruba ait olan SID numarası tekrar kullanılmamaktadır. Silinen grup ile aynı isimde yeni bir grup oluşturduğunda eski grubun SID numarası yeni gruba atanmaz.
NOT: Bir grup silinmek istendiğinde, sadece o grup ve gruba ait atanan izinler silinir. Grup silindiğinde, o gruba üye olan üyeler silinmez.
Bir grubu silmek için, grup üzerinde sağ tuşa basılır ve açılan menüden Delete seçilir.
SID Numarası (Security Identifiers)
Kullanıcı, bilgisayar ve grup hesapları oluşturulduklarında, bu hesaplara otomatik olarak SID(security identifier) isimli bir numara atanır. SID oluşturulan hesabı tanımlayan benzersiz bir numaradır. SID NT işletim sistemleri zamanından bu yana kullanılmaktadır. Sistem hiçbir zaman sizi isminizle bilmez, SID numaranızla bilir ve tanır. Kullanıcı isimleri sadece bizim grafiksel arayüzden verdiğimiz tanımlamalardır. Bir kullanıcıyı silip, tekrar aynı isimle yeni bir kullanıcı açtığımızda isimleri aynı olmasına rağmen iki kullanıcıların SID numaraları hiçbir zaman aynı olmaz. Çünkü SID tekrar kullanılmaz. Kullanıcı hesabı silindiği anda SID numarası da onunla birlikte silinir. Tipik bir SID örneğini aşağıda görmektesiniz.
S-1-5-21-1659004503-193565697-854245398-1002
SID numarasını farklı segmentlere bölebilirsiniz. Örneğin aşağıdaki gibi:
S-1-5-21-D1-D2-D3-RID
S-1-5 standart bir ön ektir. Burada 1 versiyon numarasıdır ve NT 3.1 versiyondan bu yana hiç değişmedi. 5ise SID’nin NT tarafından atandığını gösteren tanımlamadır. 21 yine bir NT ön ektir. D1,D2,D3 ise domain’e özgü olan 32-bitlik tanımlayıcı numaradır. Bir domain kurulunca o domain için D1-D2-D3’den oluşan tanımlama o domain için oluşur ve o domain içerisindeki bütün nesneler için bu D1,D2,D3 değerleri aynı olarak tanımlanır. En sondaki RID, relative identifier’ın kısaltmasıdır. Ve SID numarası içerisinde ait olduğu nesneyi benzersiz kılan ve diğer nesnelerden ayıran numaradır. Her yeni hesap benzersiz bir RID numarasına sahiptir. Hatta eski kullanıcı ile aynı isim ve bilgiler kullanılsa bile RID her zaman farklıdır. Dolayısıyla, yeni açılan kullanıcının adı eski kullanıcı ile aynı olsa da RID numarası farklı olacağı için eski kullanıcının haklarını hiçbir şekilde yeni kullanıcı tarafından kullanamayacaktır.
Ağ üzerinde meydana gelebilecek değişikler sonrasında, grup scope ve grup tipleri değiştirilebilir. Domain Local grubu içerisinde bulunan kullanıcıların, diğer domainlerdeki kaynaklara erişmeleri gerektiğinde bu grubun scope tipini Universal olarak değiştirmeniz gerekebilir. Scope tipi ve grup tipi değiştirilmek istenen grubun özelliklerine girilir ve General sekmesinden gerekli olan değişiklik yapılır. Fakat burada özellikle çalıştığınız domain modu ve grubun kapsamı (group scope) da scope dönüşümlerinde önemli rol oynamaktadır.Grup tipini Security grupdan, distribution gruba veya tam tersi şeklinde dönüşümler yapılabilir. Eski Windows 2000 ve Windows 2003 active directory zamanlarında domain modu Windows 2000 native veya Windows Server 2003 yapıda ise grup tipi değiştirilebiliyordu, Windows 2000 Mixed yapıda çalışırken grup tipleri arası dönüşüm yapılamıyordu. Windows Server 2003 domain fonksiyonel seviyesi ve üzerinde artık bu kısıtlama kalkmış durumda. Dolayısıyla Windows Server 2012 R2 active directory domain yapılarında grup tiplerini ve scope’larını birbileri arasında desteklenen durumlarda dönüşüm yapabilirsiniz. Burada önemli olan yaptığınız operasyonun etkilerini de planlayarak, desteklenen gruplar arası kontrollü dönüşümler yapmaktır.
Grup Üyelikleri
Hangi gruba kimlerin üye olabileceğine grup scope tipleri karar vermektedir. Aşağıdaki tablo grup üyelikleri ile ilgili gerekli olan bilgileri içermektedir.
Domain İçerisinde Yerleşik Gruplar (Built-In Groups)
Active directory domainleri kurulduktan sonra bizim hiçbir müdahalemiz olmadan otomatik olarak oluşan grup hesapları gelmektedir. Biz bu tip hesaplara yerleşik grup hesapları (built-in group accounts) adını veriyoruz. Bu grupların domain içerisinde atanmış olan çeşitli görevleri bulunmaktadır. Kullanıcıları yapacakları işlere göre sınıflandırdıktan sonra bu gruplara üye yaparak, kullanıcıların bu grupların görevlerini üstlenmesini sağlayabilirsiniz. Yerleşik gruplar 4 kategoride incelenebilir.
Yerleşik Global Gruplar
Active directory domain yapısı oluşturulduğu zaman, yerleşik global gruplar domain içerisine otomatik olarak oluşmakta ve bu gruplar içerisine otomatik olarak bazı üyeler eklenmektedir. Fakat daha sonradan, bu gruplar içerisine siz de kendi üyelerinizi ekleyebilirsiniz. Bu sayede üyelerin bu grupların haklarına sahip olmaları da sağlanmış olur. Yerleşik global gruplar Active Directory Users and Computers konsolu içerisinde bulunan Users container’ı içerisinde gelmektedir. Şimdi yerleşik global gruplardan bazılarını ve bunların görevlerini inceleyelim:
Domain Users : Active directory domain kurulumu sonrası Domain Users grubu, yerel yerleşik grup olan Users grubunun içerisine üye yapılmaktadır. Başlangıçta varsayılan olarak Administrator kullanıcısı bu grubun üyesidir ve yeni oluşturulan her domain kullanıcı hesabı otomatik olarak bu gruba üye yapılmaktadır.
Domain Admins : Domain içerisinde tam yetkiye sahip olmasını istediğiniz kullanıcıların üye yapıldığı yerleşik global gruptur. Bu grubun üyeleri domain içerisindeki herhangi bir bilgisayar üzerinde de yönetimsel görevleri gerçekleştirebilirler. Administrator kullanıcısı varsayılan olarak bu grubun üyesidir. Domain Admins grubu domain içerisindeki Administrators lokal grubuna ve domaine üye olan sunucu ve istemci bilgisayarlar üzerindeki yerel Administrators gruplarına da üyedir.
Domain Guests : Misafir kullanıcıların üye olduğu gruptur. Guest ismindeki yerleşik kullanıcı hesabı varsayılan olarak bu grubun üyesidir.
Enterprise Admins : Forest seviyesinde yönetimsel faaliyetleri yerine getirmek için ya da o forest içerisindeki tüm domainler üzerinde yönetim yapması istenilen kullanıcılar bu gruba üye olarak eklenebilir. Varsayılan olarak forest içerisinde ilk kurulan domaininin yani bir başka deyişle forest root domainin Administrator kullanıcısı bu grubun üyesidir. Bunun haricinde siz eklemeden otomatik olarak başka hiçbir domainin Administrator kullanıcısı bu gruba üye değildir. Forest içerisine yeni bir domain kurulacağı zaman (child domain ya da tree domain gibi) Enterprise Admins yetkisine sahip bir hesapla kurulumun başlatılması gerekir. Bu global grup sadece forest root domain içerisinde yani forest’ı ilk kuran domain içerisinde görülebilir.
Group Policy Creator Owners : Domain içerisinde GPO ayarlarını değiştirme yetkisi sahip olan gruptur. Administrator kullanıcısı varsayılan olarak bu grubun üyesidir.
Schema Admins : Bu global grup sadece forest root domain içerisinde yani forest’ı ilk kuran domain içerisinde görülebilir. Bu grubun üyeleri active directory schema üzerinde güncelleme, ekleme, silme ve değişiklik yapma hakkına sahiptir. Administrator kullanıcısı varsayılan olarak Schema Admins grubunun üyesidir.
Yerleşik Domain Yerel Gruplar
Active Directory domain yapısı oluşturulduğu zaman, daha önceden tanımlanmış görevlere sahip olan yerleşik yerel grup hesapları otomatik olarak oluşturulmuşlardır. Domain içerisindeki kullanıcılarınızı bu gruplara üye yaparak çeşitli görevlere sahip olmalarını sağlayabilirsiniz. Yerleşik yerel gruplar Active Directory Users and Computers konsolu içerisinde bulunan “Builtin” kabı içerisinde bulunmaktadırlar. Şimdi yerleşik yerel grupları ve bunların görevlerini inceleyelim:
Account Operators : Kullanıcı ve grup hesaplarını oluşturabilir, silebilir ve değişiklik yapabilir. Fakat bu grubun üyeleri , Administrators grubunu ve herhangi bir Operators grubunun özelliklerini değiştirememektedir.
Print Operators : Bu grubun üyeleri domain ortamındaki yazıcıların yönetimininden ve yapılandırılmasından sorumludurlar.
Server Operators : Sunucu bilgisayarları üzerinde disk yönetimi , kaynakların paylaştırılması, dosyaların yedeklenmesi ve geri yüklemesi gibi yönetimsel görevleri yerine getirirler.
Administrators : Bu grubun üyeleri, Domain Controller bilgisayarları üzerinde ve bulunmuş oldukları domain içerisindeki bütün yönetimsel görevleri gerçekleştirebilmektedirler. Varsayılan olarak; Administrator kullanıcı hesabı, Domain Admins global grubu ve Enterprise Admins global grubu bu grubun üyesidir.
Guests : Bu grubun üyeleri sadece kendisine verilen izinler doğrultusunda işlem yapabilmektedirler. Bu grubun üyeleri masaüstü ayarlarında kalıcı değişiklikler gerçekleştirememektedirler. Guest kullanıcı hesabı ve Domain Guest global grubu, bu grubun varsayılan üyeleridir.
Backup Operators : Windows Backup programı kullanılarak kullanıcı bilgilerini ve tüm Domain Controller yedeklerini alabilir ve geri yükleme yapabilirler.
Users : Bu grubun üyeleri sadece kendisine verilen izinler doğrultusunda işlem yapabilmektedirler. Domain Users, Authenticate Users ve Interactive özel grubu, Users grubunun varsayılan üyeleridir.
Network Configuration Operators : Domain Controller bilgisayarları üzerinde TCP/IP ayarlarını değiştirebilme hakkına sahip olan gruptur. DC olmayan server bilgisayarlarında da aynı yerel gruptan vardır. Varsayılan olarak bu grubun üyesi yoktur.
Pre–Windows 2000 Compatible Access : Windows NT 4 ya da öncesi bilgisayarların ve kullanıcılarının üye olması gereken gruptur. Bu sistemleri bu gruba üye yaparak ağdan domain ve DC bilgisayarına erişimleri sağlanmış olur. Varsayılan olarak Everyone grubu bu grubun üyesidir.
Remote Desktop Users : Remote Desktop (Uzak Masaüstü) bağlantısı yapacak kullanıcıların üye olduğu gruptur. Terminal Servis ve Remote Desktop konusundaki makalelerde kullanıyor olacağız.
Performance Log Users : Domain Controller bilgisayarları üzerindeki günlükleri tutulmuş performans bilgilerine uzaktan erişeceklerin üye olduğu gruptur.
Performance Monitor Users : Domain Controller bilgisayarının performans izlemesini uzaktan yapacak kullanıcıların üye olduğu gruptur.
Yerleşik Sistem Grupları
Windows Server 2012 R2 işletim sisteminde çalışan bilgisayarlar üzerinde varsayılan olarak mevcut olan gruplardır. Sistem grupları konsol içerisinde gözükmemektedir. Fakat kaynaklara izin ataması yapılma esnasında kullanılabilir durumdadırlar.
Authenticated Users : Active Directory içerisinde veya bilgisayar üzerinde geçerli bütün kullanıcıları içermektedir. Bu grup Everyone grubunun yerine kullanılarak kaynaklara yapılan anonim erişimleri önlemek amacıyla tasarlanmıştır.
Creator Qwner : Bir objeyi, örneğin kullanıcıları oluşturan veya bir kaynağın sahipliğini alan kullanıcıları içermektedir. Eğer Administrator kullanıcısı bir klasör oluşturur ise, Administrator kullanıcısı bu klasörün sahibidir yani Creator Owner kullanıcısıdır.
Network :Bir bilgisayar üzerinde bulunan paylaştırılmış kaynaklara ağ üzerinden bağlantı gerçekleştirmiş o anki kullanıcıları içermektedir.
Interactive : Bilgisayara logon olan kullanıcıları içermektedir. Bu grubun üyeleri, bilgisayar üzerindeki kaynaklara erişim sağlayabilir.
Anonymous Logon : Windows Server 2012 R2’nin denetlemediği kullanıcıları içermektedir.
Dialup :Güncel olarak dial-up bağlantıya sahip olan kullancıları içermektedir.
Yerel Grup Hesapları (Local Group Accounts)
Sunucu ve istemci bilgisayarların (domain controller rolüne sahip olanlar hariç) kendi yerelinde açılan grup hesaplarına yerel grup hesapları adını veriyoruz. Bu gruplar o bilgisayar üzerindeki kullanıcı hesaplarını içeren ve yerel bilgisayar üzerindeki kaynaklara erişme noktasında izin atamaları için kullanılan gruplardır. Yerel grup hesapları workgroup ortamında çalışan Windows 8.1/8/7/XP gibi istemci bilgisayarları ile Windows Server 2012 R2/2012/2008 R2/2008/2003 stand-alone server bilgisayarları üzerinde oluşturulduğu gibi, aynı zamanda domain ortamına üye Windows 8.1/8/7/XP ile Windows Server 2012 R2/2012/2008 R2/2008/2003 member server bilgisayarları üzerinde de oluşturulabilir. Yerel grup hesapları oluşturulmuş olduğu bilgisayarın yerel güvenlik veritabanında yani Security Accounts Manager (SAM) içerisinde tutulmaktadırlar. Yerel gruplar Computer Management konsolu içerisindeki Local Users and Groups içerisinde oluşturulurlar. Workgroup ortamında oluşturulmuş bir yerel grup başka bir yerel grubun üyesi olamaz. Yerel grupları oluşturabilmek için ya Administrators ya da Power Users grubuna üye olmak gerekir.
NOT: Workgroup ortamlarında sadece yerel grup kavramı vardır. Global ya da Universal gibi domain ortamında kullanılan gruplar workgroup ortamında kullanılamazlar.
Yerel Grup Oluşturulması:
My Computer üzerinde sağ tıklanır ve Manage seçilerek Computer Management konsolu açılır.
Computer Management açıldıktan sonra sol panelde Local Users and Groups seçeneği altındaki Groups üzerinde sağ tıklanır.
New Group seçeneği seçilir.
Gelen diyalog kutusunda grup adı bilgisi girildikten sonra Add butonu kullanılarak, oluşturulan grubun üyeleri belirlenir ve gruba üye yapılırlar.
Create butonuna tıklayarak tanımlanan grup oluşturulur. Close ile yeni grup oluşturma ekranı kapatılır.
Yerleşik(Built-in) Yerel Gruplar
Yerleşik yerel gruplar işletim sisteminin kurulması esnasında otomatik olarak oluşturulurlar. Bu grupların bilgisayar üzerinde sahip oldukları çeşitli yetkiler vardır. Açmış olduğunuz kendi kullanıcı hesaplarınızı yapacakları işlere göre sınıflandırdıktan sonra, bu gruplara üye yaparak sahip olduğu izinlere onların da sahip olması sağlanmış olur. Yerleşik gruplar silinemezler. Ayrıca bilgisayar üzerindeki kaynaklar için, bu gruplara sizde ilave izinler atayabilirsiniz. Yerel grupların yönetimi Computer Management içerisinden yapılmaktadır.
Yerleşik yerel grupları Computer Management konsolunda Groups altinda görebilirsiniz. Şimdi bunlardan bazılarının genel olarak işlevlerini açıklayalım:
Administrators: Otomatik olarak Administrator kullanıcısı bu grubun üyesidir. Bu grubun üyeleri bilgisayar üzerinde tam yetkiye sahiptirler.
Backup Operators: Bu grubun üyeleri, yedekleme (backup) ve geri yükleme (restore) işlemleri üzerinde yetki sahibidirler.
Guests:Misafir kullanıcılar için kullanılan bir gruptur. Bu grubun üyeleri Administrator kullanıcısının vermiş olduğu izinler doğrultusunda kaynaklara erişim gerçekleştirebilirler. Yerleşik Guest kullanıcı hesabı, varsayılan olarak bu grubun üyesidir.
Power Users:Administrators grubundan sonra en yetkili haklara sahip olan gruptur. Bu grubun üyesi olanlar, yerel kullanıcı hesaplarını oluşturabilir ve bu kullanıcı hesaplarının üzerinde değişiklik yapabilirler. Bilgisayar üzerindeki kaynakları paylaştırabilirler.
Replicator: Dosya replikasyon servislerini yapılandırma yetkisine sahiptir.
Users: Oluşturulan her kullanıcı varsayılan olarak bu grubun üyesidir. Administrator kullanıcısının vermiş olduğu haklar doğrultusunda kaynaklara erişim gerçekleştirebilirler.
Sonuç Olarak;
Bu makalemizde de sistem yöneticileri için temel konulardan biri olan “Grup Hesaplarının Yönetimini” hem yerel(local) grup hesapları hem de active directory domain yapılarındaki grup hesapları açısından detaylı olarak ele aldık. Yeni bir makalede görüşmek üzere hoşçakalın.